O ciclo de vida do Windows 8, o primeiro sistema operacional do Windows feito tanto para desktop como para dispositivos móveis, terminou. Depois da disponibilização do Patch Tuesday de janeiro de 2016, os usuários que ainda não atualizaram/fizeram o upgrade para o Windows 8.1 (que foi disponibilizado no final de 2013) ou para o Windows 10 não receberão mais atualizações. A atualização para o Windows 8.1 ou para o 10 é atualmente grátis para os usuários do Windows 8. Esse término de suporte, em especial, não deveria ser uma surpresa: depois que um service pack (nesse caso, Windows 8.1) é lançado, os usuários têm aproximadamente 24 meses para fazer o upgrade antes do término de suporte.
Versões mais antigas do Internet Explorer também receberão um suporte limitado da Microsoft. De agora em diante, apenas “a versão mais atual” do IE para uma versão em particular do Windows receberá atualizações. Para a maioria dos usuários pessoais, isso significa o Internet Explorer 11. (Os detalhes sobre qual versão é suportada para cada versão do Windows foi publicada como parte da página Support Lifecycle da Microsoft).
O Internet Explorer e o Windows estão listados entre os software afetados que receberam patches na mais recente disponibilização da Microsoft. Dos nove patches, seis foram marcados como críticos enquanto o restante foi marcado como importante. Um deles, o MS16-001 trata de um falha crítica do Internet Explorer que os agressores podem usar para instalar programas, editar dados ou criar novas contas com direitos completos de usuário. O MS16-002 também resolve uma vulnerabilidade no navegador, dessa vez no Microsoft Edge, que permite que os agressores obtenham os mesmos direitos de usuário do usuário corrente.
As outras vulnerabilidades afetam o Windows (MS16-003, MS16-005, MS16-007, MS16-008), Visual Basic (MS16-004), Silverlight (MS16-006) e Exchange Server (MS16-010).
A Adobe também resolveu 17 falhas do Adobe Acrobat e Reader em um boletim separado. Todas essas atualizações resolvem vulnerabilidades críticas que, se deixadas sem patch, podem permitir que os agressores assumam o controle dos sistemas afetados.
Recomenda-se fortemente que os sistemas e software sejam atualizados com os patches mais recentes da Adobe e da Microsoft.
Soluções Trend Micro
Os Deep Security e Vulnerability Protection da Trend Micro defendem os sistemas dos usuários contra ameaças que podem se aproveitar dessas vulnerabilidades com as seguintes regras DPI:
1007362 – Microsoft Internet Explorer Scripting Engine Memory Corruption Vulnerability (CVE-2016-0002)
1007363 – Microsoft Internet Explorer Same Origin Policy Bypass Vulnerability (CVE-2016-0005)
1007364 – Microsoft Windows ASLR Bypass Vulnerability (CVE-2016-0008)
1007366 – Microsoft Silverlight Runtime Remote Code Execution Vulnerability (CVE-2016-0034)
1007368 – Microsoft DirectShow Heap Corruption Vulnerability (CVE-2016-0015)
1007369 – Microsoft Windows DLL Loading Vulnerabilities Over Network Share (MS16-007)
1007370 – Microsoft Windows DLL Loading Vulnerabilities Over WebDAV (MS16-007)
1007372 – Microsoft Edge Memory Corruption Vulnerability (CVE-2016-0003)
1007373 – Microsoft Office Memory Corruption Vulnerability (CVE-2016-0010)
1007374 – Microsoft Office ASLR Bypass Vulnerability (CVE-2016-0012)
1007375 – Microsoft Office Memory Corruption Vulnerability (CVE-2016-0035)
1007378 – Microsoft Edge Memory Corruption Vulnerability (CVE-2016-0024)
Atualização até 12 de janeiro de 2016, 15:30 PST
Atualizamos essa postagem para adicionar informações sobre as soluções Trend Micro aplicáveis.